Virus.Script.MBP.Kynel
MapInfo jest jednym z najwi臋kszych na 艣wiecie rozwi膮za艅 programowych s艂u偶膮cych do obs艂ugi geograficznych baz danych. Producentem systemu jest firma MapInfo Corporation. MapInfo oferuje j臋zyk programowania MapBasic pozwalaj膮cy na tworzenie w艂asnych aplikacji dzia艂aj膮cych w ramach systemu. Z punktu widzenia sk艂adni j臋zyk ten jest bardzo zbli偶ony do Microsoft Visual Basic, jednak zosta艂 wzbogacony o funkcje s艂u偶膮ce do obs艂ugi tabel oraz map.
Wirus powsta艂 przy u偶yciu j臋zyka programowania MapBasic i zosta艂 skompilowany do postaci aplikacji binarnej, dzia艂aj膮cej w 艣rodowisku MapInfo. Po uruchomieniu zainfekowanej tabeli szkodnik przejmuje kontrol臋 i atakuje ca艂e 艣rodowisko. W tym celu wirus kopiuje si臋 z nazw膮 0gPiSs1.dll do folderu, w kt贸rym zainstalowano system MapInfo.
Podczas swojej aktywno艣ci wirus kolekcjonuje nazwy otwartych tabel w celu p贸藕niejszego ich wykorzystania.
W momencie zamykania systemu MapInfo szkodnik sprawdza dat臋 systemow膮. W poniedzia艂ki uruchamiana jest pierwsza funkcja dodatkowa - wirus kataloguje zgromadzone nazwy tabel i z prawdopodobie艅stwem 1% usuwa pliki posiadaj膮ce nast臋puj膮ce rozszerzenia: MAP, TIF, PCX oraz JPG>.
Druga funkcja dodatkowa jest uruchomiona w pi膮tki przypadaj膮ce na 13 dzie艅 miesi膮ca. Dzia艂a identycznie jak pierwsza, lecz pliki usuwane s膮 z prawdopodobie艅stwem 14%. Dodatkowo funkcja ta nadpisuje plik mapinfow.prj nast臋puj膮cym tekstem (kodowanie KOI-8R):
"--- 毛IIO脛脡脦脕脭U ---" "盲II脟I脭脕 / u脡OI脭脕", 3, 62, 8, -74, 40.5, 40.6666666667, 41.0333333333, 2000000, 100000.
Je偶eli uruchomienie jednej z funkcji dodatkowych nie powiedzie si臋 szkodnik infekuje wszystkie skatalogowane tabele.